CyberFix Noteポスト量子暗号(PQC)への移行。量子コンピュータが暗号を破る前に備える
対象の目安: 実務担当者 / 意思決定者
「量子コンピュータが暗号を破る」という見出しを目にして、まだ先の話だと受け流してきた人は多いと思います。実際、RSAの2048ビット鍵を現実的な時間で破れる量子コンピュータは、執筆時点では存在しません。しかし、この問題が厄介なのは「壊れる日」を待ってから動いても手遅れになる、という構造を持っているからです。攻撃者は今この瞬間に暗号化された通信を盗んで保存しておき、将来十分に強力な量子コンピュータが手に入った時点で復号すればよい。寿命の長い秘密ほど、今日のうちに守り方を変えておく必要があります。
もう一つの理由は、暗号の移行が想像以上に時間のかかる作業だからです。組織の中で暗号は通信プロトコル、証明書、VPN、ストレージ暗号化、コード署名、IoT機器のファームウェアなど、あらゆる場所に埋め込まれています。それらをどこで何を使っているか把握し、影響範囲を見極め、段階的に置き換えるには数年単位の計画が要ります。だからこそ、米国NISTは2024年に新しい暗号標準を確定させ、各国の機関が移行の旗を振り始めています。
この記事では、量子コンピュータがなぜ既存の公開鍵暗号を脅かすのか(Shorのアルゴリズム)、共通鍵暗号はなぜ当面安全なのか(Groverの限定的な影響)、NISTが標準化したポスト量子暗号(PQC)アルゴリズムの正式名称と版、そして実務としての移行の進め方までを、一次情報をもとに整理します。暗号そのものの基礎が曖昧な場合は、先に あわせて読みたい 暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
まず、量子コンピュータが何にどう効くのかを早見表で整理します。「暗号がすべて一斉に壊れる」のではなく、技術ごとに影響の大きさが違う、という点が出発点です。
| 暗号技術 | 安全性の根拠 | 量子の脅威 | 影響度 | 当面の対応 |
|---|---|---|---|---|
| RSA | 素因数分解の困難性 | Shorのアルゴリズム | 致命的(危殆化) | PQCへ移行 |
| 楕円曲線暗号(ECC) | 離散対数問題の困難性 | Shorのアルゴリズム | 致命的(危殆化) | PQCへ移行 |
| (EC)DH鍵交換 | 離散対数問題の困難性 | Shorのアルゴリズム | 致命的(危殆化) | PQCへ移行 |
| 共通鍵暗号(AES-128) | 鍵の総当たりの困難性 | Groverのアルゴリズム | 限定的(実効的に弱まる) | AES-256へ |
| 共通鍵暗号(AES-256) | 鍵の総当たりの困難性 | Groverのアルゴリズム | 軽微 | 当面そのまま |
| ハッシュ関数(SHA-256/384/512) | 衝突・原像の困難性 | Groverのアルゴリズム | 限定的〜軽微 | 出力長の長いものを選ぶ |
なぜRSAとECCが危ないのか。Shorのアルゴリズム
現在広く使われている公開鍵暗号は、「ある数学の問題が、計算機にとって解くのが非常に難しい」という前提の上に成り立っています。RSAは巨大な合成数を素因数分解する難しさに、楕円曲線暗号(ECC)や(EC)DH鍵交換は離散対数問題の難しさに、それぞれ安全性の根拠を置いています。古典的なコンピュータでは、鍵を大きくすればこれらの問題を解く時間が現実的でないほど長くなるため、安全が保たれてきました。
ところが1994年、数学者ピーター・ショアが、量子コンピュータを使えば素因数分解と離散対数問題を効率的に(古典コンピュータより圧倒的に速く)解くアルゴリズムを示しました。これがShorのアルゴリズムです。重要なのは、これが「鍵を少し長くすれば対抗できる」種類の高速化ではない点です。Shorのアルゴリズムは問題の難しさそのものを根底から崩すため、十分な規模と品質を備えた量子コンピュータが実現すれば、RSAやECCは鍵長を伸ばしても守りきれなくなります。これを暗号の世界では「危殆化(きたいか)」と呼びます。
ここで強調しておきたいのは、現時点ではそうした量子コンピュータは存在しないということです。実用的な暗号解読には、誤り訂正された多数の論理量子ビットと長時間安定した演算が必要で、その実現時期は専門家の間でも見解が分かれます。CRYPTRECの耐量子計算機暗号ガイドラインも、量子コンピュータの開発状況やPQCの必要性、標準化動向を整理しており、「いつ壊れるか」を断定するのではなく、移行準備の必要性を示すという立場をとっています。だからこそ、脅威の本質は「今すぐ壊れる」ことではなく、「壊れる前に移行を終えられるか」にあります。
共通鍵暗号はなぜ当面安全なのか。Groverの限定的な影響
「量子コンピュータが来たらAESも終わりだ」と早合点しがちですが、これは正確ではありません。共通鍵暗号(AESなど)に効く量子アルゴリズムはShorではなくGroverのアルゴリズムで、その効き方がまったく異なるからです。
Groverのアルゴリズムは、鍵を片端から試す総当たり探索を高速化します。ただしその加速は「平方根の分だけ」にとどまります。たとえば128ビット鍵の総当たりは古典的には2の128乗回の試行が必要ですが、Groverを使うとおおむね2の64乗回程度の規模に縮みます。これは大きな低下に見えますが、Shorのように問題を根本から崩すのではなく、探索の規模を半分の指数に減らすだけです。だから対抗策は単純で、鍵長を倍にすればよいのです。AES-256であれば、Groverを考慮しても実効的な強度はおよそ128ビット相当が残り、現実的な解読は依然として不可能とされています。
この違いが、移行戦略の優先順位を決めます。脅威の本命は公開鍵暗号(RSA・ECC・鍵交換)であり、共通鍵暗号はAES-256への移行で当面しのげる。ハッシュ関数も同様に、Groverの影響は出力長を十分に取れば限定的です。NSAの次世代要件であるCNSA 2.0でも、共通鍵にはAES-256、ハッシュにはSHA-384またはSHA-512が引き続き採用され、新たにPQCとしてML-KEMとML-DSAが加えられるという構成になっています。共通鍵側を作り直すのではなく、公開鍵側をPQCに置き換える、という方向性がここに表れています。
注意
「量子コンピュータでAESも一瞬で破れる」という説明は誤りです。Groverのアルゴリズムによる加速は平方根どまりで、AES-256は鍵長によって十分な余裕を残します。脅威を正しく見積もらないと、対策の優先順位を取り違え、本来急ぐべき公開鍵暗号の移行を後回しにしてしまいます。共通鍵暗号と公開鍵暗号で量子の影響が根本的に違うことを、まず押さえてください。
今すぐ動くべき理由。harvest now, decrypt later
量子コンピュータの完成がまだ先だとしても、攻撃はすでに始まっている可能性があります。それが「harvest now, decrypt later(今収集し、後で復号する)」と呼ばれるリスクです。攻撃者は、今この瞬間にRSAやECCで保護された通信やデータを傍受・保存しておき、将来Shorのアルゴリズムを動かせる量子コンピュータが手に入った時点でまとめて復号する。今日の暗号が完璧に機能していても、保存されたデータの中身は未来の鍵で開かれてしまう、という時間差攻撃です。
このリスクの大きさは、守りたい秘密の「寿命」で決まります。たとえば数日で価値を失う一時的なセッション情報であれば、復号できる量子コンピュータが登場するころには無意味になっているでしょう。しかし、長期にわたって秘匿が必要なものは事情が違います。国家機密、医療・遺伝情報、知的財産、長期契約や個人の機微情報などは、十年単位で守り続ける必要があります。こうした情報は「量子コンピュータができてから対策する」では間に合いません。今暗号化して送っているものが、すでに収集対象になっているかもしれないからです。なお、harvest now, decrypt later はあくまで「過去に収集した暗号化データを将来復号する」という機密性への攻撃です。長寿命のコード署名鍵やルート証明書も移行を急ぐべき対象ですが、こちらの主リスクは将来の署名偽造や信頼基盤の移行遅れであり、復号リスクとは別の理由で優先されます(後述の移行優先度を参照)。
判断の目安としてよく使われるのが、関連する三つの時間の比較です。情報を秘匿し続けたい年数(X)、システムをPQCへ移行し終えるのに必要な年数(Y)、そして暗号を破れる量子コンピュータが登場するまでの年数(Z)。もしXとYの合計がZを上回るなら、その情報は将来復号される危険があり、移行を急ぐ理由があるという考え方です(モスカの定理として知られます)。ZもYも不確実ですが、Xが長い資産から優先して動くという指針は、不確実性の中でも実務的に機能します。
「まだ壊れていないのに、なぜ今コストをかけるのか」という問いは自然なものです。答えは、移行が間に合わないと取り返しがつかない種類のリスクだからです。データはすでに収集されているかもしれず、収集された過去の通信は後から守り直せません。さらに、組織全体の暗号を棚卸しして段階的に置き換える作業には数年かかります。「壊れてから動く」では、移行の所要期間そのものが間に合いません。先延ばしのコストが、対策のコストを上回りうる構造になっています。
NISTが確定したPQC標準。FIPS 203/204/205
移行を進めるうえで、置き換え先となる標準アルゴリズムがすでに用意されている点は重要です。NISTは8年に及ぶ公募と評価を経て、2024年8月13日に三つの連邦標準(FIPS)を確定・公開しました。名称が紛らわしいので、正式名と用途、もとになった提案アルゴリズムを正確に押さえておきます。
| 標準 | 正式名称 | 略称 | 用途 | もとの提案 |
|---|---|---|---|---|
| FIPS 203 | Module-Lattice-Based Key-Encapsulation Mechanism Standard | ML-KEM | 鍵カプセル化(鍵共有) | CRYSTALS-Kyber |
| FIPS 204 | Module-Lattice-Based Digital Signature Standard | ML-DSA | デジタル署名 | CRYSTALS-Dilithium |
| FIPS 205 | Stateless Hash-Based Digital Signature Standard | SLH-DSA | デジタル署名 | SPHINCS+ |
FIPS 203のML-KEMは、鍵カプセル化メカニズム(KEM)です。これは従来の鍵交換(DHやECDH)が担っていた「双方で共通鍵を安全に共有する」役割を、量子耐性のある形で置き換えるものです。安全性の根拠は格子(Module Learning with Errors)問題の難しさにあり、量子コンピュータでも効率的に解けないと考えられています。パラメータにML-KEM-512・768・1024があり、数字が大きいほど安全側で性能は下がります。
FIPS 204のML-DSAとFIPS 205のSLH-DSAは、いずれもデジタル署名のための標準です。ML-DSAは格子ベースで署名・検証が速く汎用的な第一選択、SLH-DSAはハッシュ関数の安全性だけに依拠する設計で、格子に万一弱点が見つかった場合の保険として位置づけられます。署名が二系統用意されているのは、安全性の数学的根拠を一つに賭けないための多様化です。なお、追加の署名標準(格子ベースのFN-DSA等)も検討が進められており、標準群は今後も拡充されていく見込みです。
これらの標準が確定したことで、日本国内でもCRYPTRECがNISTの標準を対象に安全性・実装性能の評価を進め、耐量子計算機暗号ガイドラインを公開しています。移行先のアルゴリズムが公的に定まったことは、組織が「何に置き換えるか」で迷わずに済むという点で、移行計画を立てるうえでの大きな前提になります。
移行をどう進めるか。棚卸し・アジリティ・ハイブリッド
PQCへの移行は、アルゴリズムを一つ差し替えれば終わる作業ではありません。順序立てて進める必要があり、その第一歩は地味ですが最も重要な「暗号資産の棚卸し(cryptographic inventory)」です。
第一に、組織が今どこで何の暗号を使っているかを洗い出します。TLS通信、VPN、証明書とPKI、ストレージやデータベースの暗号化、コード署名、メール、IoT機器のファームウェア、外部サービスとの連携など、暗号は想像以上に広く埋め込まれています。どのシステムがRSAやECCに依存し、その鍵や証明書の有効期間がどれくらいで、守っているデータの寿命がどれだけ長いか。これを可視化しないと、優先順位もつけられません。 あわせて読みたい VPNの選び方と使うときの注意点。用途別の考え方と誇大広告に惑わされないコツ
第二に、移行の優先度を決めます。前述のharvest now, decrypt laterの観点から、長寿命の機密を扱うシステムと、長く使われる署名鍵(コード署名、ルート証明書、ファームウェア署名)を優先します。これらは一度発行すると長期間使い続けるため、早く動くほど将来の被害を抑えられます。
第三に、「暗号アジリティ(cryptographic agility)」を組み込みます。これは、使用する暗号アルゴリズムを設定で差し替えられるよう、アプリケーションやシステムを設計しておく考え方です。アルゴリズムをコードに直書きせず、抽象化されたインターフェース越しに呼び出すようにしておけば、今後標準が更新されたり、特定のアルゴリズムに弱点が見つかったりしても、最小限の改修で切り替えられます。今回のPQC移行を、将来も繰り返される暗号更新の「最初の一回」として設計するのが賢明です。
注意
焦って既存の暗号をPQC「単独」へ一気に置き換えるのは、かえって危険な場合があります。PQCアルゴリズムは比較的新しく、実装の成熟度やライブラリの相互運用性がまだ発展途上の領域があるためです。そのため当面の現実解として、既存の暗号(RSA/ECC等)とPQCを併用する「ハイブリッド方式」が広く推奨されています。両方が同時に破られない限り安全を保てるため、移行期のリスクを抑えられます。
ハイブリッド方式とは、たとえば鍵共有で従来のECDHとPQCのML-KEMを両方走らせ、両者の結果を組み合わせて共通鍵を作る、といった構成です。こうすれば、PQC実装に未知の不具合があっても従来暗号が守りとなり、逆に量子コンピュータが登場しても従来暗号の弱点をPQCが補います。すでに主要なブラウザやサーバ、TLSライブラリではこのハイブリッド鍵共有の採用が進んでおり、利用者が意識しないところで移行が始まっています。
移行の時期感。CNSA 2.0などの目安
「いつまでに終えるべきか」の感覚をつかむには、各国機関が示す移行スケジュールが参考になります。代表的なのが米国NSAの次世代要件CNSA 2.0(Commercial National Security Algorithm Suite 2.0)です。これは国家安全保障システムを対象とした要件で、一般企業に直接の強制力はありませんが、移行のペース感を測る目安として広く参照されています。
CNSA 2.0では、ソフトウェアやファームウェアの署名について、なるべく早期にPQCへ移行を開始し、対応可能なものは2025年頃からPQCを優先的に使い、2030年までにPQC(CNSA 2.0)を排他的に使用することが求められています。続いて、各種システムや基盤も2030年から2033年にかけて段階的にPQCへの完全移行を進め、国家安全保障システム全体としては2035年までに量子耐性を達成するという方向性が示されています。重要なのは、最も早い区分が「2030年」を期限に挙げている点です。一見すると先のようでいて、組織全体の棚卸しと段階移行に要する年数を逆算すると、準備はすでに始めているべき時期にあることが分かります。
日本国内でも、政府機関等におけるPQC移行の検討が進められており、CRYPTRECが安全性・実装評価とガイドライン整備を担っています。海外の期限をそのまま自社に当てはめる必要はありませんが、「移行先の標準は確定し、各国は2030年代前半を主要なマイルストーンに据えている」という事実は、自社の計画を立てる際の基準になります。認証や鍵管理の強化と合わせて、段階的に手を打っていくのが現実的です。多要素認証など他の防御層との組み合わせについては あわせて読みたい 多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
よくある質問
量子コンピュータはいつRSAを破れるようになりますか?
AES-256は量子コンピュータでも安全ですか?
PQCに今すぐ全面移行すべきですか?
NISTが標準化したPQCアルゴリズムは何ですか?
暗号アジリティ(cryptographic agility)とは何ですか?
まとめ
PQC移行の準備チェックリスト
- ShorのアルゴリズムがRSA/ECC/鍵交換を危殆化させ、Groverの共通鍵への影響は限定的だと区別できる
- harvest now, decrypt laterのリスクを理解し、守りたい情報の寿命で優先度を判断できる
- NISTのFIPS 203(ML-KEM)・204(ML-DSA)・205(SLH-DSA)の用途と正式名を把握した
- 組織の暗号資産の棚卸し(どこで何の暗号を使っているか)に着手した
- 長寿命の機密と署名鍵(コード署名・ルート証明書・ファームウェア)を優先対象に選定した
- 移行期はPQC単独ではなくハイブリッド方式を基本とする方針を理解した
- 暗号アジリティを設計に組み込み、将来の暗号更新に備える方針を立てた
- CNSA 2.0などの2030年代前半のマイルストーンを目安に、自社の移行計画を逆算した
ポスト量子暗号への移行は、「いつ量子コンピュータが完成するか」を当てるゲームではありません。守りたい情報の寿命、移行に要する年数、そして時間差攻撃の現実を踏まえれば、不確実な未来を待つより、確実に進められる準備から手をつけるのが合理的です。脅威の中身を正しく見積もり(公開鍵暗号が本命、共通鍵は当面安全)、移行先の標準は確定している(FIPS 203/204/205)。あとは自組織のどこに暗号が埋め込まれ、どの秘密を何年守るのかを可視化し、優先度の高いものからハイブリッドで置き換えていく。暗号運用そのものの基礎を固め直す機会として、まず あわせて読みたい 暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
出典・参考
- NIST Post-Quantum Cryptography (プロジェクトページ)
- NIST FIPS 203 Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM)
- NIST FIPS 204 Module-Lattice-Based Digital Signature Standard (ML-DSA)
- NIST FIPS 205 Stateless Hash-Based Digital Signature Standard (SLH-DSA)
- CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)2024年度版
- IPA 暗号利用に関するガイドライン・ガイダンス
関連する記事
暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
共通鍵暗号と公開鍵暗号の違いと使い分け、ハイブリッド方式、ハッシュ関数とパスワード保存、デジタル署名と証明書、TLSがHTTPSで守るものを、NISTやIPAの一次情報をもとに原理から噛み砕いて解説します。
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。
VPNの選び方と使うときの注意点。用途別の考え方と誇大広告に惑わされないコツ
VPNは「とりあえず安全」になる魔法ではありません。リモートアクセスとプライバシー保護という二つの用途を切り分け、仕組みと限界、誇大広告の見分け方、実在サービス・機器の選び方までを入門者向けに整理します。